生成 .csv 补丁合规性报告 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

生成 .csv 补丁合规性报告

您可以使用 Amazon Systems Manager 控制台来生成补丁合规性报告,这些报告将以 .csv 文件格式另存到您选择的 Amazon Simple Storage Service (Amazon S3) 存储桶。您可以生成单个按需报告或制定自动生成报告的计划。

可以在所选择的 Amazon Web Services 账户 和 Amazon Web Services 区域 中为单个托管式节点或所有托管式节点生成报告。对于单个节点,报告包含全面的详细信息,包括与不合规节点相关的补丁 ID。对于所有托管式节点的报告,仅提供摘要信息和不合规节点的补丁计数。

生成报告后,您可以使用像 Amazon 这样的工具 QuickSight 来导入和分析数据。Amazon QuickSight 是一项商业智能 (BI) 服务,可用于在交互式视觉环境中浏览和解释信息。有关更多信息,请参阅 Amazon QuickSight 用户指南

注意

创建自定义补丁基准时,您可以为此补丁基准批准的补丁指定合规性严重性级别,例如 CriticalHigh。如果任何已批准补丁的补丁状态报告为 Missing,则补丁基准报告的总体合规性严重性级别就是您指定的严重级别。

也可以指定一个在生成报告时发送通知的 Amazon Simple Notification Service (Amazon SNS) 主题。

生成补丁合规性报告的服务角色

首次生成报告时,Systems Manager 会创建名为 AWS-SystemsManager-PatchSummaryExportRole 的自动化担任角色,用于导出到 S3 的过程。

注意

如果您要将合规性数据导出到加密的 S3 存储桶,则必须更新其关联的 Amazon KMS 密钥政策以为 AWS-SystemsManager-PatchSummaryExportRole 提供必要的权限。例如,将与此类似的权限添加到 S3 存储桶的 Amazon KMS 策略中:

{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "role-arn" }

role-arn 替换为账户中创建的 Amazon 资源名称(ARN),格式为 arn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole

有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的在 Amazon KMS 中使用密钥策略

首次按计划生成报告时,Systems Manager 会创建另一个名为AWS-EventBridge-Start-SSMAutomationRole的服务角色以及用于导出过程的服务角色AWS-SystemsManager-PatchSummaryExportRole(如果尚未创建)。 AWS-EventBridge-Start-SSMAutomationRole使 Amazon EventBridge 能够使用运行手册 Amazon-ExportPatchReportTo S3 启动自动化。

我们建议不要尝试修改这些策略和角色。这样做可能会导致补丁合规性报告生成失败。有关更多信息,请参阅 解决补丁合规性报告生成中的问题

生成的补丁合规性报告中有哪些内容?

本主题提供有关生成并下载到指定 S3 存储桶的补丁合规性报告中包含的内容类型的信息。

为单个托管式节点生成的报告提供摘要信息和详细信息。

下载示例报告(单个节点)

单个托管式节点的摘要信息包括以下内容:

  • 索引

  • 实例 ID

  • 实例名称

  • 实例 IP

  • 平台名称

  • 平台版本

  • SSM Agent 版本

  • 补丁基准

  • 补丁组

  • 合规性状态

  • 合规性严重性

  • 不合规的重大严重性补丁计数

  • 不合规的高严重性补丁计数

  • 不合规的中等严重性补丁计数

  • 不合规的低严重性补丁计数

  • 不合规的信息严重性补丁计数

  • 不合规的未指定严重性补丁计数

单个托管式节点的详细信息包括以下内容:

  • 索引

  • 实例 ID

  • 实例名称

  • 补丁名称

  • KB ID/补丁 ID

  • 修补状态

  • 上次报告时间

  • 合规级别

  • 补丁严重性

  • 补丁分类

  • CVE ID

  • 补丁基准

  • 日志 URL

  • 实例 IP

  • 平台名称

  • 平台版本

  • SSM Agent 版本

注意

创建自定义补丁基准时,您可以为此补丁基准批准的补丁指定合规性严重性级别,例如 CriticalHigh。如果任何已批准补丁的补丁状态报告为 Missing,则补丁基准报告的总体合规性严重性级别就是您指定的严重级别。

为所有托管式节点生成的报告仅提供摘要信息。

下载示例报告(所有托管式节点)

所有托管式节点的摘要信息包括以下内容:

  • 索引

  • 实例 ID

  • 实例名称

  • 实例 IP

  • 平台名称

  • 平台版本

  • SSM Agent 版本

  • 补丁基准

  • 补丁组

  • 合规性状态

  • 合规性严重性

  • 不合规的重大严重性补丁计数

  • 不合规的高严重性补丁计数

  • 不合规的中等严重性补丁计数

  • 不合规的低严重性补丁计数

  • 不合规的信息严重性补丁计数

  • 不合规的未指定严重性补丁计数

为单个托管式节点生成补丁合规性报告

在 Amazon Web Services 账户 中使用以下过程为单个托管式节点生成补丁摘要报告。单个托管式节点的报告提供有关每个不合规补丁的详细信息,包括补丁名称和 ID。

为单个托管式节点生成补丁合规性报告
  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 Patch Manager

    -或者-

    如果首先打开 Amazon Systems Manager 主页,选择菜单图标 ( 
    The menu icon
  ) 打开导航窗格,然后选择 Patch Manager

  3. 选择 Compliance reporting(合规性报告)选项卡。

  4. 选择要为其生成报告的托管式节点所在行的按钮,然后选择 View detail(查看详细信息)。

  5. Patch summary(补丁摘要)部分中,选择 Export to S3(导出到 S3)。

  6. 对于报告名称,输入名称以帮助您以后识别该报告。

  7. 对于报告频率,选择下列选项之一:

    • 按需 — 创建一次性报告。跳至步骤 9。

    • 按计划 — 指定自动生成报告的定期计划。继续执行步骤 8。

  8. 对于计划类型,请指定速率表达式(如每 3 天),或者提供 cron 表达式来设置报告频率。

    有关 Cron 表达式的更多信息,请参阅 参考:适用于 Systems Manager 的 Cron 和 Rate 表达式

  9. 对于于 Bucket name,选择要存储 .csv 报告文件的 S3 存储桶的名称。

    重要

    如果您处于 2019 年 3 月 20 日之后启动的 Amazon Web Services 区域 中,则必须在该区域选择 S3 存储桶。默认情况下,在该日期之后启动的区域会被关闭。有关这些区域的详细信息和列表,请参阅《Amazon Web Services 一般参考》中的 Enabling a Region

  10. (可选)要在报告生成时发送通知,请展开 SNS topic(SNS 主题)部分,然后从 SNS topic Amazon Resource Name (ARN) [SNS 主题的 Amazon Resource Name (ARN)] 中选择一个现存的 Amazon SNS 主题。

  11. 选择提交

有关查看生成报告的历史记录的信息,请参阅 查看补丁合规性报告历史

有关查看已创建的报告计划详细信息的信息,请参阅 查看补丁合规性报告计划

为所有托管式节点生成补丁合规性报告

在 Amazon Web Services 账户 中使用以下过程为所有托管式节点生成补丁摘要报告。所有托管式节点的报告会指明哪些节点不合规以及不合规补丁的数量。它不提供补丁的名称或其他标识符。对于这些额外详细信息,您可以为单个托管式节点生成补丁合规性报告。有关更多信息,请参阅本主题前面的 为单个托管式节点生成补丁合规性报告

为所有托管式节点生成补丁合规性报告
  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 Patch Manager

    -或者-

    如果首先打开 Amazon Systems Manager 主页,选择菜单图标 ( 
    The menu icon
  ) 打开导航窗格,然后选择 Patch Manager

  3. 选择 Compliance reporting(合规性报告)选项卡。

  4. 选择导出到 S3。(不要先选择节点 ID。)

  5. 对于报告名称,输入名称以帮助您以后识别该报告。

  6. 对于报告频率,选择下列选项之一:

    • 按需 — 创建一次性报告。跳至步骤 8。

    • 按计划 — 指定自动生成报告的定期计划。继续执行步骤 7。

  7. 对于计划类型,请指定速率表达式(如每 3 天),或者提供 cron 表达式来设置报告频率。

    有关 Cron 表达式的更多信息,请参阅 参考:适用于 Systems Manager 的 Cron 和 Rate 表达式

  8. 对于于 Bucket name,选择要存储 .csv 报告文件的 S3 存储桶的名称。

    重要

    如果您处于 2019 年 3 月 20 日之后启动的 Amazon Web Services 区域 中,则必须在该区域选择 S3 存储桶。默认情况下,在该日期之后启动的区域会被关闭。有关这些区域的详细信息和列表,请参阅《Amazon Web Services 一般参考》中的 Enabling a Region

  9. (可选)要在报告生成时发送通知,请展开 SNS topic(SNS 主题)部分,然后从 SNS topic Amazon Resource Name (ARN) [SNS 主题的 Amazon Resource Name (ARN)] 中选择一个现存的 Amazon SNS 主题。

  10. 选择提交

有关查看生成报告的历史记录的信息,请参阅 查看补丁合规性报告历史

有关查看已创建的报告计划详细信息的信息,请参阅 查看补丁合规性报告计划

查看补丁合规性报告历史

使用本主题中的信息帮助您查看有关 Amazon Web Services 账户 中生成的补丁合规性报告的详细信息。

查看补丁合规性报告历史
  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 Patch Manager

    -或者-

    如果首先打开 Amazon Systems Manager 主页,选择菜单图标 ( 
    The menu icon
  ) 打开导航窗格,然后选择 Patch Manager

  3. 选择 Compliance reporting(合规性报告)选项卡。

  4. 选择查看所有 S3 导出,然后选择导出历史记录选项卡。

查看补丁合规性报告计划

使用本主题中的信息帮助您查看在 Amazon Web Services 账户 中生成的补丁合规性报告历史的详细信息。

查看补丁合规性报告历史
  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 Patch Manager

    -或者-

    如果首先打开 Amazon Systems Manager 主页,选择菜单图标 ( 
    The menu icon
  ) 打开导航窗格,然后选择 Patch Manager

  3. 选择 Compliance reporting(合规性报告)选项卡。

  4. 选择 View all S3 exports(查看所有 S3 导出),然后选择 Report schedule rules(报告计划规则)选项卡。

解决补丁合规性报告生成中的问题

使用以下信息帮助您解决在 Patch Manager ( Amazon Systems Manager 的一个功能)中生成补丁合规性方面存在的问题。

报告 AWS-SystemsManager-PatchManagerExportRolePolicy 策略已损坏的消息

问题:您收到类似于以下内容的错误消息,指示 AWS-SystemsManager-PatchManagerExportRolePolicy 已损坏:

An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any 
role that uses it, then try again. Systems Manager recreates the roles and policies 
you have deleted.
  • 解决方案:在生成新的补丁合规性报告之前,使用 Patch Manager 控制台或 Amazon CLI 删除受影响的角色和策略。

    使用控制台删除损坏的策略
    1. 访问:https://console.aws.amazon.com/iam/,打开 IAM 控制台

    2. 请执行以下操作之一:

      按需报告 — 如果在生成一次性按需报告时出现问题,请在左侧导航栏中选择策略,搜索 AWS-SystemsManager-PatchManagerExportRolePolicy,然后删除该策略。下一步,选择角色,搜索 AWS-SystemsManager-PatchSummaryExportRole,然后删除该角色。

      计划报告:如果在按计划生成报告时出现问题,请在左侧导航栏中选择策略,一次搜索一个 AWS-EventBridge-Start-SSMAutomationRolePolicyAWS-SystemsManager-PatchManagerExportRolePolicy,然后删除每个策略。下一步,选择角色,一次搜索一个 AWS-EventBridge-Start-SSMAutomationRoleAWS-SystemsManager-PatchSummaryExportRole,然后删除每个角色。

    使用 Amazon CLI 删除损坏的策略

    请将占位符值替换为账户 ID。

    • 如果在生成一次性按需报告时出现问题,请运行以下命令:

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

      如果在按计划生成报告时出现问题,请运行以下命令:

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

    完成任一过程后,按照以下步骤生成或计划新的补丁合规性报告。

在删除补丁合规性策略或角色后,未成功按照计划生成报告

问题:首次生成报告时,Systems Manager 会创建一个服务角色和一个策略,用于导出过程 (AWS-SystemsManager-PatchSummaryExportRoleAWS-SystemsManager-PatchManagerExportRolePolicy)。首次按计划生成报告时,Systems Manager 会创建另一个服务角色和策略 (AWS-EventBridge-Start-SSMAutomationRoleAWS-EventBridge-Start-SSMAutomationRolePolicy)。这些允许亚马逊使用运行手册 Amazon—— ExportPatchReportTo S3 EventBridge 启动自动化。

如果您删除这些策略或角色中的任何一个,则计划与指定的 S3 存储桶和 Amazon SNS 主题之间的连接可能会丢失。

  • 解决方案:若要变通解决此问题,我们建议删除以前的计划,并创建一个新的计划来替换遇到问题的计划。